ISO 27001:n vaatimus 4.3 – ISMS:n laajuuden määrittäminen

Kuinka asettaa ISMS:n laajuus

Soveltamisalaan kuuluva toiminta on paljon loogisempaa harkita, kun olet suorittanut 4.1 ja 4.2 työt. Otat todennäköisesti huomioon organisaatiosi, tytäryhtiöt, divisioonat, osastot, tuotteet, palvelut, fyysiset sijainnit, liikkuvat työntekijät, maantieteelliset alueet, järjestelmät ja prosessit oman alasi mukaan, koska tiedonvarmistus- ja riskinarviointityö seuraa niitä organisaatiosi osia, jotka tarvitsevat suojellakseen.

Muista myös miettiä, mitä myös voimakkaat sidosryhmästä kiinnostuneet osapuolet odottavat. Jos harkitsisit jonkin organisaation osan jättämistä soveltamisalan ulkopuolelle, mikä vaikutus sillä olisi niille voimakkaille kiinnostuneille osapuolille? Pitäisikö sinun myös käyttää useita järjestelmiä ja päätyä hämmentämään henkilökuntaa siitä, mikä heidän työskentelytavassaan oli soveltumatonta ja sen ulkopuolella?

Mitä liiketoiminnan osia tarvitsee luodakseen, käyttääkseen tai käsitelläkseen arvokkaina pitämääsi tietoresurssia? Niiden olisi lähes varmasti oltava laajoja, jos asiakkaat ohjaisivat ulkopuolisia paineita heidän tietoturvatarpeidensa tyydyttämiseksi. Saatat esimerkiksi keskittyä tuotekehitykseen ja toimitukseen, mutta sinun on silti tarkasteltava myös ihmisiä, prosesseja jne. Mieti myös, mitä voit ja mitä et voi hallita tai vaikuttaa.

Tämän työn tekeminen voi kestää minuutteja tai kestää huomattavasti kauemmin suuremmassa yrityksessä, jossa voi olla poliittisesti ja käytännössä haastavaa määrittää hallittava laajuus. ISO-sertifiointielimet, kuten UKAS, pyrkivät myös enemmän "koko organisaation" laajuuteen, ja tehokkaat asiakkaat yleensä odottavat myös sitä.

Kuinka dokumentoida "soveltamisalan ulkopuolinen"

Sinun tulee myös huomioida huolellisesti ISMS:n "soveltamattomia" alueita, jotka on kääritty tärkeimpien rajapintojen ja riippuvuuksien rinnalle organisaation ja muiden organisaatioiden suorittamien toimintojen välillä. Yksinkertaisella tasolla oletetaan, että olet ohjelmistokehittäjä ja luotat palvelinkeskuksen ulkoistamiseen palvelun isännöimiseksi asiakkaille.

Selventäisit luultavasti, että 4.3:n käyttöalue on organisaatiosi sisällä ihmisille ja itse ohjelmistolle, mutta se jättäisi palvelinkeskuksen rajat ja toiminnot hallinnan ulkopuolelle – loppujen lopuksi odotat niiden myös ylläpitävän oman luotettavan ISMS:nsä.

Sama koskee fyysistä omaisuutta – jos vuokranantaja on riippuvainen tietyistä töistä (esim. lastaus, esteet ja vastaanoton valvonta), mikä saattaa muodostaa rajan, jossa fyysisen sijainnin turvallisuus ei ole sinun hallinnassasi ja harjoittaa ISMS-toimintaasi kyseisessä omaisuudessa. Sinun odotetaan kuitenkin edelleen ohjaavan toimittajaa osana liitteen A 15 mukaisia ​​toimittajakäytäntöjäsi ja varmistavan, että heidän käytäntönsä vastaavat vähintään ISMS:si ja riskinhaluasi koskevia vaatimuksia, mutta se on toisen kerran.

Muita huomioitavia seikkoja

• Yllä olevan kohdan perusteella, jos jättäisit osia soveltamisalan ulkopuolelle, mikä vaikutus sillä olisi henkilöstöön? Olisiko osa heidän työstään soveltamisalan piirissä ja osa soveltamisalan ulkopuolella? Jos näin on, onko olemassa lisäriskejä ja komplikaatioita, joissa ne voivat sekoittaa käytäntöjä (esimerkiksi), olla suojaamatta työtä ja aiheuttaa enemmän uhkaa kahden eri lähestymistavan noudattamisesta?
• Onko mahdollisuuksia kuvata asioita toisin, esim. kohdella joitain satelliittitoimistoja etätyöntekijöinä, ei fyysisinä tiloina tai laajuudeltaan?
• Laajuuden yksinkertaistaminen tai rajoittaminen varhaisessa vaiheessa voi olla järkevää, jos osaat tehokkaasti segmentoida tiedon rajat ja osoittaa, että riskeihin puututaan. Jos kuitenkin aiot lisätä jotain myöhemmin, muista, että laajuuden olennainen muutos saattaa aiheuttaa uuden auditoinnin tarpeen riippuen siitä, mitä, milloin, miten ja ohjaavatko ne sisäiset tavoitteet tai ulkoiset paineet.